Поговорим о безопасности
В вашей компании может быть: настроена качественная защита сети, развернута дорогая антивирусная система, на дверях установлены замки с кодовым доступом и т.д. Но что если злоумышленники не будут пытаться "хакнуть" ваши системы, а попробуют получить доступ к информации и материальным ценностям компании через людей - через ваших сотрудников? Что если, проходя в офис, один из ваших сотрудников просто проигнорирует следующего за ним мужчину в спецовке и со стремянкой?
"Ну видно, что этот человек электрик, интернетчик или какой-то там монтажник, значит идёт что-то чинить. Не заходил же бы он сюда просто так."
Большинство из нас подумает таким образом. Действительно, уверенно заходить в незнакомое место просто так никто не будет. Именно этим и воспользуется злоумышленник, он знает что вы подумаете так. Вот некоторые варианты, которые у него появляются, как только он попадёт в офис:
- Узнать планировку помещений, местоположение ключевых объектов (сейфы, серверная и т.д.);
- Кража материальных ценностей;
- Установка шпионских устройств;
- Доступ к не заблокированным компьютерам;
- Доступ к локальной сети компании и перехват трафика;
- Получение различной информации из разговоров с сотрудниками.
Можно сколько угодно совершенствовать (информационную) безопасность компании, но в конечном счёте, вся безопасность упирается в человеческий фактор. К тому же, зачастую, на другой чаше весов банальное удобство. Бесконечное совершенствование безопасности ведёт к усложнению и замедлению рабочих процессов. Например, в некоторых компаниях, чтобы использовать флешку, нужно оставлять заявку "айтишникам", обосновать им необходимость её использования и только после этого, если они согласуют вашу заявку, они разблокируют возможность подключения флешки к компьютеру. Ну разве это удобно?
Конечно это неудобно! Многие компании и их IT-подразделения, умышленно не блокируют всё и вся. Потому что иначе можно просто зарыться в бесконечных согласованиях, протоколах безопасности и так далее. Именно поэтому важно "прокачивать" безопасность не только на уровне систем, но и на организационном уровне.
Первым этапом в прокачке знаний ваших сотрудников, должна стать проверка этих самых знаний. Недавно мы проводили аудит безопасности методами социальной инженерии для крупной компании. Далее расскажем вам об этом кейсе и поделимся своим опытом.
1 - Планирование аудита
На этом этапе, решаем с нашим заказчиком, что конкретно он хочет проверить. В данном кейсе это происходило в простом формате - мы представили основные популярные типы атак, заказчик выбрал интересующие его:
- Phishing - воровство данных через поддельные письма, сайты и формы ввода;
- Vishing/Smishing атаки - кража данных через звонки (vishing) и СМС (smishing);
- Tail Gating - проход в здание/офис по пятам за сотрудником компании;
- Road apple - ловля на живца. “Забытые” флешки, диски, телефоны и даже кабели для зарядки;
После выбора атак, определяем методологию "взлома":
- Черный ящик - мы самостоятельно собираем всю информацию о компании;
- Белый ящик - нам предоставляется полный доступ ко всей информации и системам компании;
- Серый ящик - промежуточный вариант. То есть какую-то информацию или доступы нам предоставляют, а в остальном опираемся на своим силы. Заказчик согласовал нам этот метод.
Далее, запрашиваем и/или собираем сами необходимую минимальную информацию о компании:
- Информация о персонале - в частности e-mail адреса и номера телефонов сотрудников;
- Средства защиты в компании - антивирусы, спам. фильтры, СКУД и т.д.;
- Средства коммуникации - почтовые системы, корп. мессенджеры, телефония;
- Прочая информация - адрес офиса, график работы и т.д.
И наконец, формируем конкретные сценарии атаки, представляем их, получаем согласование и начинаем работать :^) .
2 - Проведение аудита
На этом этапе приступаем к выполнению запланированных сценариев:
- Phishing - разворачиваем сервер, настраиваем фишинг симулятор, создаем поддельное письмо и копию сайта с формой ввода данных, вешаем этот сайт на похожий домен и начинаем рассылку писем. Наблюдаем через фишинг симулятор за действиями пользователей.
- Tail Gating - наш аудитор приезжает на адрес компании, дожидается сотрудника идущего в офис и проходит за ним по пятам. Да, всё действительно оказалось так просто. Даже без спецовок и стремянок. Наш аудитор "размещает" хакерское устройство на патчкорд идущий до принтера. На деле это был простой стикер с надписью "Вас взломали", мы все таки проводим аудит, а не хакерствуем :) . Записывает планировку офиса и расположение ключевых объектов, "ворует" несколько ноутбуков, общается с сотрудниками и получает различную информацию.
- Vishing - звоним одному из сотрудников, ответственному за сигнализацию в офисе, используем Pretexting (обращение к жертве по заранее заготовленному актуальному сценарию) и узнаем код от сигнализации офиса.
- Smishing - так же, как и в предыдущей атаке, используем Pretexting. Создаем фейковый аккаунт IT-специалиста этой компании в Telegram c его именем и фамилией, пишем одному из топ менеджеров и узнаем его пароль от компьютера. При этом в компании для коммуникации используется свой корп. мессенджер.
- RoadApple - наш аудитор, во время Tail Gating атаки раскидал по офису несколько флешек. Специальный скрипт должен был прислать нам отчет, как только кто-то вставит флешку в свой компьютер. Но! Именно эта атака не возымела никакого успеха.
Ключевой момент этого этапа - сохранять секретность. Нам это удалось. Провал и раскрытие любого сценария сводит к нулю смысл проведения следующих атак.
3 - Отчёт о результатах
Для каждой из атак у нас был свой метод фиксации происходящего. Из огромного массива данных собранных за время аудита мы формируем удобно читаемый отчёт для заказчика и включаем рекомендации по устранению всех уязвимостей.
Потом, мы собираем этот огромный массив данных, отправляем заказчику и удаляем у себя .
Потом, мы собираем этот огромный массив данных, отправляем заказчику и удаляем у себя .
Теперь вы знаете!
- Что злоумышленникам необязательно взламывать сервера и системы компании;
- Как проводятся аудиты безопасности методами социальной инженерии;
- К кому можно обратиться, если вам нужен такой аудит ;-)
Мы оказываем широкий спектр IT-услуг:
- IT аутсорсинг и консалтинг;
- Переход на облачную инфраструктуру;
- Внедрение IT систем;
- Развитие и автоматизация IT инфраструктуры;
- Разработка и автоматизация сайтов;
Вы можете связаться с нами и задать все интересующие вас вопросы через форму обратной связи, по телефону, указанному на главной странице сайта или через нашего телеграмм бота.